psguard

[puduk007]

Salut à tous.

Mon ordi merde à mort ce soir, je vous décris ça.

 

 

1)A la place de mon fond d'écran j'ai, sur fond noir, écrit très gros:

"warning (qui clignote)

Your computer might be infected with spywere or adware!!!

Strange homepage, popups, loss of important data and unstable functionning are the sure signs that you are infected.

Click here to get the latest spyware removal software"

Je clique et ça m'envoie sur psguard.com!

 

EN début de soirée d'hier, au début de mes problèmes, deux antivirus/antispywere avaient été installés à mon insu, je les ai tout de suite désinstallés: psguard mais aussi antivirus gold...

 

 

2)A la place de ma page de démarrage, j'ai un truc vraiment bizarre. L'adresse c'est res://C:\WINDOWS\system32\shdocsv.dll/API32.htm et je ne peux pas la changer.

Cette page affiche quelque chose de très semblable à ce qui est décrit ici: http://www.commentcamarche.net/forum/affic...ence-Eliminator

Sauf que ces gens le recevaient par mail et moi c'est dans la page de démarrage!!!

 

 

Voilà, j'espère que vous pourrez m'aider et que ce n'est pas trop grave... Je précise que j'ai windows 98, une version régulièrement mise à jour de Norton mais pas d'anti spyware... Merci d'avance!

[Invité Stonangel]

Bonjour, si tu penses que ton PC est infecté, applique strictement la procédure suivante afin que nous puissions te répondre et apporter des solutions à tes dysfonctionnements.

 

Procédure préliminaire à toute demande d'analyse de rapport HijackThis.

 

 

Phase 1

 

- faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion.

 

- télécharger Antivir ( http://www.free-av.com ) et le paramétrer selon les indications de tesgaz ( http://speedweb1.free.fr/frames2.php?page=tuto5 )

 

- télécharger la dernière version d'HijackThis ( http://www.merijn.org/files/hijackthis.zip ou http://telechargement.zebulon.fr/138-hijackthis-1991.html en cas d'indisponibilité !)

 

Phase 2

 

- redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte)

 

-- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].

 

NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" (http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924 )

 

-- à l'ouverture de session, choisir la session courante et non celle de l'administrateur

 

- Afficher tous les fichiers par cette modification des options de l'explorateur Windows :

 

Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer".

Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation.

 

Phase 3

 

- nettoyage rapide du disque dur :

 

Démarrer / Exécuter / taper CleanMgr et valider

 

Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers

C:\TEMP

C:\WINDOWS\TEMP

C:\Documents And Settings\Session utilisateur\Local Settings\Temp

C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files

 

Vider la corbeille

 

- recherche et élimination des parasites avec Antivir

lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent)

 

- installation et utilisation d'HijackThis

-- créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis) ; dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau.

 

Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire

 

-- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"

-- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)

NB : en cas de problème, appliquer le Tutorial de BipBip (http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm avec copies d'écran).

 

Phase 4

 

- redémarrer en mode normal

 

- ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller dans un post ci-dessous (Ctrl-V) de manière à ce que nous vous disions ce qu'il faut faire.

 

- attendre l'analyse et la réponse.

 

Auteur: megataupe

[Thanos]

salut pudduck, stonangel

 

Est ce que tu as téléchargé l'utilitaire de S!Ri? :

 

http://siri.urz.free.fr/Fix/SmitfraudFix.zip

 

Tu le décompresses tu double cliques dessus et tu choisis l’option 1

 

Cela va générer un rapport poste le

 

Redémarre en mode sans échec

 

Relance le et choisis cette fois l’option 2 et réponds oui à tout

 

Redémarre et communique le nouveau rapport avec un rapport Hijackthis

 

effectué en mode sans échec .

[puduk007]

Merci à tous les 2. En ce qui concerne tout le processus, j'en suis à l'analyse antivirus, il me trouve pleins de trucs, notamment pas mal de trojan horses... A chaque fois je met delete file. Il me trouve aussi des merdes dans des fichiers archivés donc je peux pas les enlever. Dans l'option des dossiers je n'avais pas la case "Masquer les fichiers protégés du système d'exploitation" que je devais normalement décocher.

 

Charles ingals j'ai bien téléchargé ton utilitaire mais je ne sais pas décompresser (!!) et je ne trouve pas "option1" "et option2"...

[BipBip07]

Salut oubli l'utilitaire pour le moment car il nettois juste la base de registre. Il faut d'abord appliquer la procedure puis ensuite poser un rapport hijackthis et la un zebulonien confirmé te dira quoi faire et te fera utiliser SmitfraudFix .

A+

[S!Ri]

... il nettois juste la base de registre. ...

542249[/snapback]

 

Salut

désolé de m'incruster.

Juste une précision FmitfraudFix ne nettoie pas seulement la base de registre.

 

Mais tu as raison, il faut proceder par étapes, et suivre la procedure.

Avec un rapport HijackThis en complement car un malware est bien souvant accompagné d'autres de ces amis.

 

a+

 

ps: le fix ne fonctionne que sous win 2000/XP.

[BipBip07]

Salut 

désolé de m'incruster.

Juste une précision FmitfraudFix ne nettoie pas seulement la base de registre.

Effectivement j'ai confondu avec smitfraud.reg

http://www.bleepingcomputer.com/files/reg/smitfraud.reg

A+

Modifié le 27 juillet 2005 par BipBip07

[ipl_001]

Bonjour S!Ri, , BipBip, Stonangel, charles ingals, bonjour à tous,

...

Juste une précision FmitfraudFix ne nettoie pas seulement la base de registre.

 

...

 

ps: le fix ne fonctionne que sous win 2000/XP.

Merci pour ta visite et ton intervention et tes remarques judicieuses et notamment les 2 points que j'ai reproduit ci-dessus !

 

- SmitfraudFix élimine des fichiers du disque dur, il n'y a qu'à observer le rapport pour le vérifier !

 

- le fix est réservé à la "technologie NT" de par les commandes utilisées

 

et un troisième point

 

- malgré son nom, SmitfraudFix traite aussi d'autres malwares cousins tels que AV Gold, Desktop Hijack et autres (à confirmer par S!Ri)

[puduk007]

D'ailleurs AV Gold je l'ai vu passer par mon PC hier...

L'annalyse antivir m'a fait plus de 200 alertes; dont au moins 150 trojan horses!! Comment ça sez fait???

 

Sinon j'ai fait le hijackthis:

 

 

Logfile of HijackThis v1.99.1

Scan saved at 15:48:15, on 27/07/05

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\PROGRAM FILES\ACCESSOIRES\NOTEPAD.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\PROGRAM FILES\HIJACKTHIS\HIJACKTHIS.EXE

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.xiueubxjcrxzihd.com/xtky1W//wZt...4OFfc8tiT9g.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\system32\shdocsv.dll/API32.htm#ID=347;065D

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://shdocsv.dll/asst.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo, Internet avec france telecom

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX (file missing)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: Mega! - {8BC6346B-FFB0-4435-ACE3-FACA6CD77816} - C:\WINDOWS\TEMP\MegaHost.dll

O2 - BHO: (no name) - {F3E480CA-B01F-0A64-F127-FA7D31C181DF} - C:\WINDOWS\APPLICATION DATA\ACID CURB\BARBDRIVE.EXE

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe

O4 - HKLM\..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [sVCHOST] C:\WINDOWS\svchost.exe 0

O4 - HKLM\..\Run: [DSB] C:\Program Files\DSB\dsb.exe

O4 - HKLM\..\Run: [VideoManager] C:\Program Files\Video Manager\VideoManager.exe /iconic

O4 - HKLM\..\Run: [indexindicator] C:\WINDOWS\SYSTEM\Indexindicator.exe /check

O4 - HKLM\..\Run: [MEMreaload] C:\Program Files\ServicePackFiles\MEMreaload.exe /checkmouse /updateratio

O4 - HKLM\..\Run: [suite] C:\WINDOWS\SYSTEM\SuiteOffices.exe /cleandb

O4 - HKLM\..\Run: [Reload] C:\Program Files\ServicePackFiles\reload.exe /reloadenterpice

O4 - HKLM\..\Run: [Diesel] C:\WINDOWS\SYSTEM\Recalculate.exe /reloadenterpice

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\taskbaricon.exe

O4 - HKLM\..\Run: [REAL] C:\Program Files\REAL\realjbox.exe

O4 - HKLM\..\Run: [LocalProxy] C:\Program Files\LocalProxy\proxy4free.exe

O4 - HKLM\..\Run: [LSAS] C:\WINDOWS\SYSTEM\LSAS.exe /check

O4 - HKLM\..\Run: [lservers] C:\Program Files\ServicePackFiles\lservers.exe /checkmouse /updateratio

O4 - HKLM\..\Run: [mctask] C:\WINDOWS\SYSTEM\mctask.exe /allservice

O4 - HKLM\..\Run: [sHA256] C:\Program Files\SHA256\secure.exe

O4 - HKLM\..\Run: [WIZZ] C:\Program Files\WIZZ\dazzler.exe

O4 - HKLM\..\Run: [AdsBlocker] C:\Program Files\AdsBlocker\stopAds.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [tool 16 less live] C:\WINDOWS\Application Data\Joy Mix Tool 16\Manager less.exe

O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\SYSTEM\intell32.exe

O4 - HKLM\..\Run: [PSGuard spyware remover] C:\Program Files\PSGuard\PSGuard.exe

O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE /min

O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe

O4 - HKLM\..\RunServices: [ATISmart] C:\WINDOWS\SYSTEM\ati2s9ag.exe

O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe"

O4 - HKLM\..\RunServices: [scriptBlocking] "C:\Program Files\Fichiers communs\Symantec Shared\Script Blocking\SBServ.exe" -reg

O4 - HKCU\..\Run: [Mode love] C:\WINDOWS\APPLIC~1\FLAGCH~1\help face.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE" /background

O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Startup: EPSON Contrôleur en arrière plan.lnk = C:\ESM2\STMS.exe

O8 - Extra context menu item: &Google Search - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html

O8 - Extra context menu item: Pages similaires - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html

O8 - Extra context menu item: Pages liées - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - www.wanadoo.fr (file missing) (HKCU)

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...StatsClient.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/14624b848e64a9ca7806/...RdxIE601_fr.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab

O16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://images.goa.com/v3/InstallGoaIT/Itpp...0,1,6/npwwg.cab

O16 - DPF: {FD40EC41-D860-4579-8BA4-52671A45C71C} (AxHtChat Class) - http://images.goa.com/v3/InstallGoaIT/Chat...,4/npaxchat.cab

O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://fr.encyclopedia.yahoo.com/rsc/tdserver.cab

O16 - DPF: {093F9CF8-0DE1-491C-95D5-5EC257BD4CA3} - http://akamai.downloadv3.com/binaries/IA/dtc32_FR.cab

O16 - DPF: {CEFB7B49-9652-464F-8AFD-A577C0500F39} (EGP2ECOM Class) - http://akamai.downloadv3.com/binaries/P2EC...8_1034_pack.cab

O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab30149.cab

O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppD...sharingctrl.cab

O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab

O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab

O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab

O16 - DPF: {7DA181BB-EF8D-4A7E-8C53-7BFC718EF71D} (Upload Class) - http://photos.wanadoo.fr/al/presentation/p...ivex/Ephoto.cab

O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab

O16 - DPF: {11111111-1111-1111-1111-511111193457} - file://c:\x.cab

O16 - DPF: {11111111-1111-1111-1111-511111193458} - file://c:\x.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab

O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab

O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab

O16 - DPF: {564EC66E-5A1B-51D3-1DB0-5080C83DA4EB} - ms-its:mhtml:file://C:ie.mht!http://69.50.164.12/exp/mht/sext01.chm::/MegaInstaller.exe

O16 - DPF: {564EC66E-5A1B-51D4-1DB0-5080C23DA4EB} - ms-its:mhtml:file://C:ie.mht!http://69.50.164.12/pcash/loader.chm::/loader.exe

O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab

O21 - SSODL: OLE Module - {0656A137-B161-CADD-9777-E37A75727E78} - C:\WINDOWS\SYSTEM\abirvalg32.dll (file missing)

[BipBip07]

Bon c'est parti ! Ca fait longtemps que j'ai pas vu un PC aussi infecté

Imprime ce qui suit...

 

Télécharger (tu l'utilisera aprés)Lopremover

 

1-Désactiver la restauration systeme,

allez dans " Démarrer/exécuter " et tapez : " msconfig ",

allez alors dans l'onglet Démarrage et décochez les lignes suivantes:

" PCHealth " et " StateMgr ". Puis terminez en cliquant sur " OK ".

L'ordinateur vous demande " Voulez-vous redémarrer maintenant? " ; cliquez sur " Non ".

Dans le panneau de configuration, ouvrez l'icône " Système ", allez dans l'onglet " Avancé ",

et cliquez alors sur le bouton (en bas): " Système de fichiers ".

Dans la liste qui s'affiche, cochez la case " Désactiver l'option de restauration du système ",

puis cliquez sur " OK "

 

2-Démarrer le logiciel HijackThis et lancer un scan "Do a system scan only".

Puis cocher les lignes suivantes (dans HijackThis):

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.xiueubxjcrxzihd.com/xtky1W//wZt...4OFfc8tiT9g.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\system32\shdocsv.dll/API32.htm#ID=347;065D

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://shdocsv.dll/asst.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: Mega! - {8BC6346B-FFB0-4435-ACE3-FACA6CD77816} - C:\WINDOWS\TEMP\MegaHost.dll

O2 - BHO: (no name) - {F3E480CA-B01F-0A64-F127-FA7D31C181DF} - C:\WINDOWS\APPLICATION DATA\ACID CURB\BARBDRIVE.EXE

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe

O4 - HKLM\..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [sVCHOST] C:\WINDOWS\svchost.exe 0

O4 - HKLM\..\Run: [DSB] C:\Program Files\DSB\dsb.exe

O4 - HKLM\..\Run: [VideoManager] C:\Program Files\Video Manager\VideoManager.exe /iconic

O4 - HKLM\..\Run: [indexindicator] C:\WINDOWS\SYSTEM\Indexindicator.exe /check

O4 - HKLM\..\Run: [MEMreaload] C:\Program Files\ServicePackFiles\MEMreaload.exe /checkmouse /updateratio

O4 - HKLM\..\Run: [suite] C:\WINDOWS\SYSTEM\SuiteOffices.exe /cleandb

O4 - HKLM\..\Run: [Reload] C:\Program Files\ServicePackFiles\reload.exe /reloadenterpice

O4 - HKLM\..\Run: [Diesel] C:\WINDOWS\SYSTEM\Recalculate.exe /reloadenterpice

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\taskbaricon.exe

O4 - HKLM\..\Run: [REAL] C:\Program Files\REAL\realjbox.exe

O4 - HKLM\..\Run: [LocalProxy] C:\Program Files\LocalProxy\proxy4free.exe

O4 - HKLM\..\Run: [LSAS] C:\WINDOWS\SYSTEM\LSAS.exe /check

O4 - HKLM\..\Run: [lservers] C:\Program Files\ServicePackFiles\lservers.exe /checkmouse /updateratio

O4 - HKLM\..\Run: [mctask] C:\WINDOWS\SYSTEM\mctask.exe /allservice

O4 - HKLM\..\Run: [sHA256] C:\Program Files\SHA256\secure.exe

O4 - HKLM\..\Run: [WIZZ] C:\Program Files\WIZZ\dazzler.exe

O4 - HKLM\..\Run: [AdsBlocker] C:\Program Files\AdsBlocker\stopAds.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [tool 16 less live] C:\WINDOWS\Application Data\Joy Mix Tool 16\Manager less.exe

O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\SYSTEM\intell32.exe

O4 - HKLM\..\Run: [PSGuard spyware remover] C:\Program Files\PSGuard\PSGuard.exe

O4 - HKCU\..\Run: [Mode love] C:\WINDOWS\APPLIC~1\FLAGCH~1\help face.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE" /background

O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...StatsClient.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/14624b848e64a9ca7806/...RdxIE601_fr.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab

O16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://images.goa.com/v3/InstallGoaIT/Itpp...0,1,6/npwwg.cab

O16 - DPF: {FD40EC41-D860-4579-8BA4-52671A45C71C} (AxHtChat Class) - http://images.goa.com/v3/InstallGoaIT/Chat...,4/npaxchat.cab

O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://fr.encyclopedia.yahoo.com/rsc/tdserver.cab

O16 - DPF: {093F9CF8-0DE1-491C-95D5-5EC257BD4CA3} - http://akamai.downloadv3.com/binaries/IA/dtc32_FR.cab

O16 - DPF: {CEFB7B49-9652-464F-8AFD-A577C0500F39} (EGP2ECOM Class) - http://akamai.downloadv3.com/binaries/P2EC...8_1034_pack.cab

O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab30149.cab

O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppD...sharingctrl.cab

O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab

O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab

O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab

O16 - DPF: {7DA181BB-EF8D-4A7E-8C53-7BFC718EF71D} (Upload Class) - http://photos.wanadoo.fr/al/presentation/p...ivex/Ephoto.cab

O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab

O16 - DPF: {11111111-1111-1111-1111-511111193457} - file://c:\x.cab

O16 - DPF: {11111111-1111-1111-1111-511111193458} - file://c:\x.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab

O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab

O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab

O16 - DPF: {564EC66E-5A1B-51D3-1DB0-5080C83DA4EB} - ms-its:mhtml:file://C:ie.mht!http://69.50.164.12/exp/mht/sext01.chm::/MegaInstaller.exe

O16 - DPF: {564EC66E-5A1B-51D4-1DB0-5080C23DA4EB} - ms-its:mhtml:file://C:ie.mht!http://69.50.164.12/pcash/loader.chm::/loader.exe

O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab

O21 - SSODL: OLE Module - {0656A137-B161-CADD-9777-E37A75727E78} - C:\WINDOWS\SYSTEM\abirvalg32.dll (file missing)

 

 

3-Fermer toutes les fenêtres Windows, Internet explorer, Outlook,…sauf le logiciel Hijackthis et cliquer sur « Fix checked »

 

4-Redémarrer en mode sans echec (appuyer sur F8 ou F5 lors du démarrage)

 

5-Ensuite aller dans l’ Explorateur Windows et supprimer les fichiers ci dessous si ils sont présent :

 

C:\WINDOWS\TEMP\MegaHost.dll

C:\WINDOWS\APPLICATION DATA\ACID CURB\

C:\WINDOWS\taskmon.exe

C:\WINDOWS\svchost.exe

C:\Program Files\DSB\

C:\WINDOWS\SYSTEM\Indexindicator.exe

C:\WINDOWS\SYSTEM\SuiteOffices.exe

C:\WINDOWS\SYSTEM\Recalculate.exe

C:\Program Files\LocalProxy\

C:\WINDOWS\SYSTEM\LSAS.exe

C:\WINDOWS\SYSTEM\mctask.exe

C:\Program Files\SHA256\

C:\Program Files\WIZZ\

C:\Program Files\AdsBlocker\

C:\WINDOWS\Application Data\Joy Mix Tool 16\

C:\WINDOWS\SYSTEM\intell32.exe

C:\Program Files\PSGuard\

C:\WINDOWS\APPLIC~1\FLAGCH~1\help face.exe

c:\info6_s.cab

c:\ied_s7.cab

c:\x.cab

c:\eied_s7.cab

c:\ex.cab

C:ie.mht!

C:\WINDOWS\SYSTEM\abirvalg32.dll

C:\wp.exe

C:\wp.bmp

C:\bsw.exe

C:\Windows\sites.ini

C:\WINDOWS\popuper.exe

C:\WINDOWS\SYSTEM\hhk.dll

C:\WINDOWS\SYSTEM\wldr.dll

C:\WINDOWS\SYSTEM\helper.exe

C:\WINDOWS\SYSTEM\intmon.exe

C:\WINDOWS\SYSTEM\shnlog.exe

C:\WINDOWS\SYSTEM\hookdump.exe

C:\WINDOWS\SYSTEM\perfcii.ini

C:\WINDOWS\SYSTEM\intmonp.exe

C:\WINDOWS\SYSTEM\msmsgs.exe

C:\WINDOWS\SYSTEM\msole32.exe

C:\WINDOWS\SYSTEM\ole32vbs.exe

C:\Program Files\Search Maid

C:\Program Files\Virtual Maid

C:\Program Files\Security IGuard

C:\Program Files\Spyware Vanisher

C\temp\ <-- supprimer tout le contenu du dossier

C:\windows\temp\ <-- supprimer tout le contenu du dossier

C:\Documents and settings\Tous les identifiants\application data\Sun\Java\Deployment\cache\javapi1.0\jar\ <-- supprimer tout le contenu du dossier

C:\Documents and Settings\Tous les identifiants\Local Settings\Temp\ <-- supprimer tout le contenu du dossier

C:\Documents and Settings\ Tous les identifiants\Local Settings\Temporary Internet Files\ <-- supprimer tout le contenu du dossier

Fichier temporaire internet:

Démarrer/panneau de configuration/options internet

--> button supprimer cookies

--> button supprimer fichier temporaire internet

Fichiers temporaries : Démarrer/exécuter " CleanMgr "

Cocher tout sauf :

Compression des fichiers non utilisés

Fichiers catalogue d’indexation du contenu

/ OK / OUI

 

6-Relancer un scan avec Antivir puis ensuite avec Norton(si possible)

 

7-Puis exécuter Lopremover

Tu le lances,tu inseres les chiffres dans la case,puis tu cliques sur UNINSTALL

Redémarrer

NB : il se peu que ton antivirus s’exite désactive le le temps de la manipulation

 

 

8-Redémarrer normalement,

 

9- Vas dans ma signature consignes de sécurité et nettois ton PC avec Adaware, Spybot, A2, Easycleaner, et Ccleaner.

 

10-Faire un scan en ligne chez Ravantivirus(mettre un fausse adresse email ou une adresse hotmail):

http://www.ravantivirus.com/scan/

jusqu'à ce que "ready to scan" apparaisse

cela doit se présenter comme ceci http://img272.echo.cx/img272/7830/rav0gh.jpg

Tu cliques ensuite sur "scan my pc" (étape 3 de l'image)

A la fin du scan, qui peut prendre un certain temps, tu copies et colles le rapport ici

 

Ou celui la

PANDA si tu n'y arrive pas : tutorial

 

110-Réactiver la restauration systeme,

 

12-Puis reviens mettre un rapport Hijackthis

Modifié le 27 juillet 2005 par BipBip07